Перейти к содержанию
Авторизация  
Blood_Rain_X

Вирус

Рекомендуемые сообщения

Наткнулся на интересный вирус, скачав спам бот. Интересный, т.к. еще не видел, чтобы моим пк управляли из вне, курсор начал перемещаться сам по себе, открывать программы и т.д. Я сразу же тыкнул перезагрузку и теперь задерживаюсь в интернете только, чтобы написать сюда и в очередной раз надеюсь на вашу помощь :rolleyes:

 

Ссылка на скачивание вируса (!):

удалено

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем thyrex

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

RMS - remote manipulator system удалите через Установку программ

 

Пересоздайте ярлыки запуска браузеров

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\windows\sppsvc.exe','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack



O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) 

Сделайте новые логи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалил RMS.
Удалил ярлыки.

Выполнил скрипт.

Карантин отправил. Кстати, ссылка для отправки сейчас выглядит так https://my.kaspersky.com/ru/support/viruslab.

Ответ KLAN-1380597208:

bcqr00001.dat,
bcqr00002.dat,
sppsvc.exe

No malicious code has been found in these files.

rutserv.exe - not-a-virus:RemoteAdmin.Win32.RMS.d

This file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates


Пофиксил.

Новые логи:

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Blood_Rain_X

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте!
 
Закройте все программы
 
Отключите
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe','');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe','32');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;    
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...